Afspraak is afspraak
Wat moet je vastleggen?
Waar moet je wat vastleggen?
De privacywetgeving brengt met zich mee dat je in bepaalde gevallen afspraken dient vast te leggen. Dit is met name op het moment dat persoonsgegevens worden uitgewisseld: Bij de voordeur en de achterdeur.
Bij de voordeur van je organisatie worden persoonsgegevens verzameld. Hierbij geldt de plicht dat je als organisatie de betrokkene informeert over wat je met de gegevens gaat doen. Dit kan eenzijdig via een zogenaamde privacyverklaring of op basis van toestemming, waarbij je moet kunnen aantonen dat de toestemming ook daadwerkelijk is gegeven (bewijs).
(zie hiervoor ook het privacy serviceprogramma)
De meeste organisaties die persoonsgegevens verzamelen delen deze ook weer via de achterdeur. Bijvoorbeeld met een cloud ICT leverancier, een administratiekantoor of een marketingbedrijf. In dergelijke gevallen is het vaak noodzakelijk dat een contract wordt afgesloten met de partij waaraan de gegevens worden verstrekt. Het gaat dan meestal om een verwerkersovereenkomst of een gegevensleveringsovereenkomst.
Let op waar je voor tekent!
In veel gevallen wordt gewerkt met VWO- en GLO- templates. Dit zijn standaard contractmodellen die door organisaties kunnen worden ingevuld. Daar is in principe niks mis mee maar let wel goed op wat je tekent of wat je zelf uitstuurt. We zien nog altijd dat de templates onvolledig of fout ingevuld worden verstuurd waarna de ontvanger klakkeloos tekent. De VWO en GLO kunnen een behoorlijke impact hebben op je bedrijfsvoering. Als je een VWO of GLO binnen krijgt let dan goed op waar je voor tekent!
Als je zelf een VWO uitstuurt moet je je goed realiseren dat je verantwoordelijk blijft voor wat de ontvanger (de verwerker) met deze gegevens gaat doen. Let dus goed op wat je verstuurt!
Heeft u een vewerkersovereenkomst ontvangen of verstrekt u zelf gegevens aan andere partijen? Privacy8 adviseert u graag bij het inrichten van de overeenkomsten.
Daarbij kan ook ondersteuning worden geboden bij het in kaart brengen van de gegevensstromen zodat inzichtelijk wordt welke afspraken waar moeten worden vastgelegd.
De verwerkersovereenkomst
De verwerkingsovereenkomst (VWO). Veel organisaties hebben er al mee te maken gehad.
Een VWO kun je ontvangen van organisaties waarvan je ook persoonsgegevens ontvangt. Verstrek je zelf persoonsgegevens aan andere partijen dan dien je wellicht ook zelf een VWO te versturen.
De VWO wordt ingezet indien de organisatie die de persoonsgegevens verstrekt zelf verantwoordelijk blijft voor wat de ontvanger ermee gaat doen. Een VWO is om die reden de meest uitgebreide contractvorm die kan worden afgesloten bij het uitwisselen van persoonsgegevens. Het is immers zaak dat degene die verantwoordelijk blijft ervoor zorgt dat de ontvanger zorgvuldig met de gegevens omgaat en de persoonsgegevens alleen gebruikt voor het doeleinde waarvoor ze zijn verstrekt. De maatregelen en procedures die je zelf hebt ingericht om persoonsgegevens veilig en volgens de wet te verwerken moeten in dit geval ook door de ontvanger worden opgevolgd. De VWO bevat dus een reeks aan eisen en afspraken.
De gegevensleveringsovereenkomst
De gegevensleveringsovereenkomst wordt gebruikt in gevallen waarbij degene die de gegevens verstrekt niet langer verantwoordelijk blijft voor de gegevens die zijn overgedragen. Stel je hebt van een betrokkene toestemming gekregen dat zijn of haar persoonsgegevens mogen worden gedeeld met een andere organisatie dan is het in dergelijke gevallen verstandig om met deze organisatie toch een overeenkomst af te sluiten waarin je vastlegt voor welk doel de ontvanger de persoonsgegevens mag gaan gebruiken. Dit gebeurt middels een gegevensleveringsovereenkomst.